• SYN_RECVの表示

netstat | grep SYN_RECV

• 30秒間隔でモニタリング

watch -n 30 "netstat | grep SYN_RECV"

• 60秒間隔でport80モニタリング

watch -n 60 "netstat -n -t | grep SYN_RECV | grep :80"

• この行数をカウントする

netstat | grep SYN_RECV | wc -l

• シェルスクリプトにしてcronで回してしきい値を超えたらipフィルタを走らせようか

#!/bin/sh
syncount=`netstat | grep SYN_RECV | wc -l`
#echo ${syncount}
if ${syncount}>100; then
./ipfilter/iptables-krcnkp.sh
fi 

• • iptablesのlimitとhashlimitも考えたけど、たくさんのウイルス感染したマシンからIP偽装して同時多発的に攻撃を食らうと想定するならば、効果あるか？limitは正常な接続要求もつられて拒絶してしまうので問題ありか？

• IPで5カラムのみ表示

netstat -n | grep SYN_RECV | awk '{print $5}'

• INPUTチェインの1番めのルールを消す

iptables -D INPUT 1